O GDPR (Regulamento Geral de Proteção de Dados da União Europeia) entra em vigor em meio a uma grande expectativa e acúmulo de ideias. Nos últimos anos, empresas e articuladores políticos em todo o mundo têm se preparado para essa legislação, a qual revela três aspectos principais:
– Introduz requisitos de privacidade mais altos;
– Estabelece multas pesadas por não conformidade;
– Aplica-se a todas as organizações que processam os dados pessoais de indivíduos dentro da União Europeia, independentemente da sua localização.
Este último é muito relevante. O GDPR é um esforço ambicioso que procura preencher uma lacuna no campo da privacidade na Internet. A implementação por organizações em todo o mundo não tem sido fácil, uma vez que o estatuto é complexo e, em muitos aspectos, difícil de ser aplicado, principalmente para as Pequenas e Médias Empresas (PMEs) e as novas, uma vez que os custos para garantir a conformidade são notáveis.
A intenção de criar um quadro de privacidade muito mais forte e sólida foi elucidada desde o início. Nos últimos anos, a Europa tem insinuado que a sua compreensão do direito à privacidade não é apenas diferente de muitas das suas contrapartes, mas também uma das suas principais prioridades. A Diretriz de Privacidade de 2002, a decisão emblemática do TJCE de 2014 sobre o Direito de Esquecer, o Regulamento de Privacidade proposto em 2017 e, agora, o GDPR são exemplos claros de uma determinada região para fornecer fortes proteções de privacidade.
Todas estas iniciativas permitiram à Europa alcançar duas realizações. Em primeiro lugar, fornecer algo muito necessário ao debate global sobre privacidade na Internet que há muito tem sido um debate filosófico com poucos resultados tangíveis. Em segundo, através do GDPR, a União Europeia procura posicionar-se como um regulador de referência global para a privacidade.
Durante os muitos anos da Internet comercial, os resultados de privacidade foram deixados para as empresas que coletam e usam dados pessoais, com estes resultados aumentaram, exponencialmente, os custos com a privacidade dos usuários. Revelações recentes das principais empresas de Internet sugerem que a sociedade ainda não conseguiu atingir o equilíbrio necessário entre a proteção e a monetização de dados.
O GDPR procura mudar este comportamento ao cambiar a dinâmica do uso de dados pessoais para os usuários. Ele procura dar a eles controle final sobre o processamento de dados. Por exemplo, o GDPR exige que as empresas evitem a prática atual de provisões longas, legais e pouco claras, escondidas nas letras miúdas de seus Termos de Referência. Isso, sem dúvida, mudará a dinâmica de como a privacidade é apresentada e oferecida aos usuários.
No entanto, é no segundo ponto que as questões começam a ficar mais complexas.
Ao aplicar o GDPR em qualquer organização de todo o mundo que colete dados pessoais de qualquer cidadão da União Europeia, a Europa se estabelece como a voz principal na privacidade da Internet em todo o mundo. O x da questão aqui é: a Europa ocupará os holofotes por um longo tempo? Outros países e regiões intensificarão seus esforços para abordar a privacidade no contexto de uma Internet global?
Há ainda um elemento de extraterritorialidade no GDPR que pode causar um “efeito de transbordamento” em três outros aspectos da Governança da Internet, os quais podem implicar na fragmentação:
– Estabelecer um precedente onde os países podem começar a impor legislação nacional ou regional que tenha impacto global;
– Criar choques involuntários entre diferentes leis, o que pode resultar em imprevisibilidade e falta de clareza, e o que poderia impedir a implantação de tecnologia global;
– Produzir “concorrência regulatória”, a noção de atores estatais que buscam dominar o ambiente regulatório internacional da Internet.
Ainda não se viu como será realizado, mas é provável que tenha implicações para o futuro da governança da Internet. Na Internet Society (ISOC), acredita-se em uma Internet global, aberta, interoperável e segura. Assim como na Governança da Internet inclusiva, a qual se esforça para atender aos interesses de todas as partes envolvidas em todo o mundo.
Com o GDPR em vigor, portanto, devemos trabalhar em colaboração com todas as partes interessadas para uma estrutura de privacidade global mais coerente, a qual incorpora abordagens globais compatíveis para a privacidade e proteção de dados pessoais. Uma delas é porque o GDPR, coloca os usuários no centro do controle de seus dados, apoiado por um consenso global para garantir um ecossistema de privacidade mais previsível, consistente e aplicável.
* Konstantinos Komaitis é diretor de Desenvolvimento de Políticas da Internet Society